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Circuit et procede pour la securisation d"un 
coprocesseur dedie a la cryptographie 

La presente invention se rapporte a un circuit et a 
5 un procede pour la securisation d'un coprocesseur dedie 
a la cryptographie. 

Plus particulierement , 1 1 invention concerne un 
circuit et un procede de securisation du chargement 
d'une cle numerique, et/ou d'un message a chiffrer ou a 
10 dechiffrer, faisant intervenir notamment un registre 
supplementaire de chargement de donnees afin de liiaiter 
la visibility des echanges de donnees dans le circuit 
en question. 

Le domaine d 1 application de 1 1 invention est 
15 essentiellement le domaine de la cryptologie. La 
cryptologie peut se definir comme etant la science de 
la dissimulation de 1 1 information. Elle constitue, avec 
la securite physique des composants et des systemes 
d 1 exploitation, la dimension essentielle de la sScurite 

2 0 des cartes a puce. 

La cryptologie englobe la cryptographie qui est 
l'art de chiffrer et de dechiffrer les messages et la 
cryptanalyse qui est l'art de casser les codes secrets, 
Le chiffrement des messages consiste a transformer une 
25 information a l'aide d'une convention secrete. La 
fonction de transformation constitue l'algorithme 
cryptographique dont le secret reside dans des 
parametres appeles cles. L 1 operation inverse, qui est 
le d^chif f rement du message, necessite la connaissance 

3 0 de ces cles. 

Dans les cartes a puces, la cryptographie met en 
oeuvre divers mecanismes qui ont pour but d 1 assurer 
soit la conf identialite des informations, soit 
1 1 authentif ication des cartes ou des utilisateurs, soit 
3 5 encore la signature des messages. L 1 ensemble des moyens 
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mettant en oeuvre la cryptographie forinent un crypto- 
systeme . 

La figure 1 montre un schema simplifie d'un crypto- 
systeme. Sur cette figure, un message clair est 
5 transmis depuis une unite d' emission 1 vers une unite 
de reception 2 sous la forme d'un message chiffrfi. Dans 
l'unit§ demission 1, le message en clair est 
transforme par un algorithme A qui est fonction d'une 
cle de chiffrement Cl. Dans 1' unite de reception 2, les 

10 informations regues sont dechif frees a I'aide d f un 
algorithme inverse A" 1 qui utilise une cle de 
dechif frement C2 afin de retrouver le message clair. 
Dans ce cas precis, a savoir lorsqu'on utilise un 
algorithme de chiffrement et de dechif frement , la clS 

15 de chiffrement et la cle de dechif frement sont 
identiques. Un message peut ainsi etre transmis entre 
une unite d' emission et une unite de reception sur un 
canal non securise. Seul un utilisateur autorise, qui 
detient la cl6 secrete de dechif frement, pourra decoder 

2 0 le message chiffre. 

L 1 operation de dechif frement implique que 
l 1 algorithme de chiffrement soit un algorithme 
reversible. Cette condition n'est pas necessaire par 
exemple lors d'une operation d • authentif ication. En 
25 effet, certains mecanismes d ' authentif ication utilisent 
un meme algorithme lors de 1' emission et de la 
reception d'un message. 

Le choix d'un algorithme de chiffrement pour carte 
a puce depend du service de securite attendu, de la 

3 0 performance et surtout du coQt des ressources 

necessaires a son implantation, qui depend 
essentiellement de la taille des memoires de type RAM 
et des memoires de type ROM. 

En effet, 1 ' utilisation d ' algorithmes encombrants 
3 5 augmente tres vite le prix des cartes a puce. Un 



• • • • 

3 

algorithme de chiffrement tres utilise dans les cartes 
a puce est 1 ' algorithme DES (Data Encryption System 
dans la litterature anglaise et selon le standard 
ISO/ANSI) e Un tel algorithme necessite deux donnees 
5 d 1 entree (la cle de chiffrement ou de dechif f rement et 
1 1 information a chiffrer ou a dechif frer) et produit 
une donnee de sortie (le resultat du traitement par 
1 •algorithme) . La taille des signaux issus de 
l 1 algorithme de chiffrement est genera lement de 64 
10 bits. 

Le message clair peut etre transforme en un message 
chiffre de meme longueur ou de longueur differente, par 
exemple en combinant des blocs de donnees, en les 
chainant et permettant ainsi de chiffrer diffSremment 

15 des blocs de donnees identiques. 

II existe des crypto-syst&mes symetriques : ce sont 
les crypto-systemes faisant appel a des algorithmes de 
chiffrement et de dechif f rement dont les cles de 
chiffrement et de dechif f rement sont identiques. 

20 Lorsque les cles de chiffrement et de dechif f rement 
sont differentes, le crypto-systeme est dit 
asymetrique. D'autres crypto-systemes existent, 
notamment les crypto-systemes a apport nul de 
connaissance . 

25 Les algorithmes symetriques posent des problemes de 

gestion de cle. En effet, lorsqu'un grand nombre 
d f utilisateurs font partie d'un reseau, il faut que 
chacun d'entre eux possede une cle personnalisfee car 
une cl6 unique const ituerait une menace pour tout le 

30 systeme dans le cas ou elle serait compromise* 

Comme il est peu pratique et risque de stocker 
toutes les cles, la methode consiste a les diversifier 
a partir d'une cle maitresse et d'un identifiant de 
chaque carte. Les cles maitresses doivent etre 

35 particulierement protegees et peuvent etre contenues 
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dans un module de securite ou une carte dite carte mdre 
poss£dee par l'emetteur des cartes. 

La figure 2 montre un exemple de verification 
dynamique de la validite d'une operation de 
5 dechif f rement d*un message numerique transmis de fagon 
chiffree. 

Sur cette figure , un nombre aleatoire NA est 
chif f re a 1 1 aide d 1 un algorithme de chiff rement A qui 
fait intervenir une cle de chiff rement CI. Un message 

10 chiffre MC ainsi cree est transmis a une carte a puce 
20. Un micro-calculateur 21 de la carte a puce 20 
d§chiffre le message chiffre a l'aide d f un algorithme 
de d€chiff rement inverse A" 1 et d'une cle de 
dechif f rement C2 , qui est dans la pratique identique a 

15 la cl6 de chiff rement CI. Un nombre R est le rSsultat 
de cette operation de dechif f rement . Un module de test 
22 permet de rScuperer le nombre R et de le comparer au 
nombre initialement emis NA. La carte a puce 20, qui a 
effectuS I 1 operation de dechif f rement du message 

2 0 chiffre MC, est consideree comme authentique si le 

nombre NA est egal au nombre R. Seule une carte 
authentique est en mesure de retrouver le nombre NA en 
utilisant sa cle secrete. 

Les cles numeriques utilisees par les composants 

25 electroniques, notamment dans des micro-calculateurs de 
carte a puce, pour chiffrer ou dechiffrer des messages 
revgtent done un caractere essentiel pour la 
conf identialite des donnees vehiculees. Toute personne 
en possession de la cle numerique associee a un 

30 algorithme de chiffrement ou de dechif f rement est en 
mesure d'acceder & des donnees qui ne lui sont pas 
destinees. 

Or le systeme actuel qui utilise ces cles 
numeriques presente encore quelques faiblesses au 

3 5 niveau de la securisation, par exemple au moment du 
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chargement d'une cle numerique utilisee pour le 
chif f rement ou le dechif frement d'un message numerique. 

Un exemple d'une telle situation est donnees a la 
figure 3. La figure 3 montre un circuit electronique 3 
5 rSalisant le chargement d'une cle numerique , de 
chiffrement ou de dechif frement, dans les registres 
d'un co-processeur dedie a la cryptographie. 

A la figure 3, un module de memoire 30 est connecte 
a une batterie de registres d ' entree/sortie 32 au moyen 

10 d'une liaison bi-directionnelle 31. La batterie de 
registres d' entree/sortie 32 est composee de registres 
Slementaires qui ont, par exemple , une capacity de 
memoire de un octet. Un multiplexeur 34 assure la 
repartition des donnees contenues dans la batterie de 

15 registres d • entree/sortie 3 2 entre des registres 
61ementaires d'un registre d 1 entree 3 6 et d'un registre 
de cle 38. 

Un module de controle 4 0 gere I 1 ensemble des 
operations effectuees par le module de memoire 30, la 
20 batterie de registres d 1 entree/sortie 32, et le 
multiplexeur 34. 

Le module de controle 4 0 assure en outre que les 
donnees S chiffrer ou a dechiffrer emises par le module 
de memoire 30 soient transmises dans le registre 
25 d' entree 36 au moyen d'un premier bus de communication 
Bl, et que les donnees relatives a la cle numerique 
soient transmises dans le registre de cl6 38 au moyen 
d'un deuxieme bus de communication B2 . 

II existe plusieurs fonctionnements possibles pour 
30 la transmission de donnees depuis la batterie de 
registres d' entree/sortie 3 2 vers le registre d' entree 
36 et le registre de cle 38. 

Un premier mode de transmission peut etre le 
suivant : 1' ensemble des registres elementaires de la 
3 5 batterie de registres d ' entree/ sortie 3 2 sont remplis 
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avec des donn^es issues du module de memoire 30. La 
totalite des informations contenues dans la batterie de 
registres d 1 entree/ sortie 3 2 est seulement alors 
transmise dans chacun des registres elementaires 
5 appropries du registre d 1 entree 36 ou, le cas echeant, 
dans chacun des registres elementaires appropries du 
registre de cle 38. 

Un autre mode de transmission possible est le 
suivant : a chaque fois qu'un registre de la batterie 

10 de registres d 1 entree/sortie est charge depuis le 
module de memoire 30, il est aussitot transmis via le 
multiplexeur 34 vers un registre elementaire approprie 
du registre d 1 entree 36 ou du registre de cle 38. 

Dans tous les cas, un module de traitement 42 , 

15 fonctionnant a l'aide d'un algorithme de chiffrement ou 
de dechif f rement, requiert 1' ensemble des donnees 
relatives au message a traiter contenues dans le 
registre d* entree 36 et I 1 ensemble des donnees 
relatives a la cle numerique contenues dans le registre 

20 de cle 38. Le f onctionnement du module de traitement 
est egalement gere par l 1 unite de controle 40. 

Le message a traiter et la cle numerique sont 
transmis vers le module de traitement 42 respect ivement 
depuis le registre d'entr€e 36 et depuis le registre de 

25 cl6 38, respectivement au moyen d'une liaison 41 et 
d'une liaison 43. Avec 1* ensemble de ces donnees, le 
module de traitement 42 est en mesure de transmettre un 
message traite dans un registre de sortie 44 au moyen 
d'une liaison 45. 

3 0 Les donnees contenues dans le registre de sortie 44 

peuvent alors etre transmises au module de memoire 30 
via le multiplexeur 34, la batterie de registres 
d 1 entree/ sortie 3 2 et un troisieme bus de communication 
B3 qui assure 1 1 echange de donnees entre le registre de 

35 sortie 44 et le multiplexeur 34. 



Un circuit tel que celui deer it a la figure 3 pose 
un probleme de visibility depuis le monde exterieur. En 
effet, une mesure des signaux electriques revelateurs 
d'echanges d 1 informations entre differentes parties du 
circuit peut permettre d'acceder a des informations 
conf identielles, qui participent a la protection de 
donnees par le systeme de chiffrement ou de 
dfechif f rement . 

En effet, au moment de 1 'utilisation de la cl6 
numerique par un composant habilite (tel qu'une carte a 
puce) , une certaine visibility sur la cle numerique est 
possible par 1* etude de tels signaux electriques • Les 
signaux electriques sensibles peuvent etre observes sur 
des liaisons electriques ou des bus de communication, 
notamment entre le module de memoire 3 0 et la batterie 
de registres d 1 entree/sortie 32, ainsi qu'entre la 
batterie de registres d 1 entree/sortie 32 et le 
multiplexeur 34, entre le multiplexeur 34 et les 
differents registres d' entree 36, de cle 38 et de 
sortie 44 ou encore entre les differents registres 
d ' entree et de sortie et le module de traitement 42 • 

La cle numerique peut ainsi etre decouverte suite a 
une accumulation de mesures des signaux electriques 
precedemment cites, et a une etude statistique de ces 
mesures* 

Le composant peut par exemple utiliser la cle 
numerique dans la situation presentee a la figure 3. 
Supposons le cas de figure ou le composant effectue une 
operation de chiffrement. Pour effectuer une telle 
operation, le composant a besoin de charger, depuis un 
module de memoire interne, la cle de chiffrement. II 
peut ainsi etre authentifie comme etant un composant 
legitime, ayant le droit d 1 effectuer 1" operation. 
Aussi, si le composant est observe alors qu'on sait 
qu'il effectue une operation de chargement de la cle, 
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1 'enregistrement des informations vehiculees par les 
signaux electriques mis en jeu permet d'aboutir a la 
connaissance de la cle numerique de chiffrement. Une 
fois que cette cle est connue, il est tres facile de 
reproduire le comportement du composant legitime, et 
par la suite d'effectuer des operations initialement 
interdites pour un utilisateur quelconque. 

Un autre cas de figure peut poser un probleme 
relatif a la visibility des informations circulant sous 
forme de signaux electriques. En effet, outre les 
informations relatives a la cle numerique, il est 
egalement possible, par 1' etude de certains signaux 
electriques, notamment entre la sortie du module de 
traitement et le module de memoire, de connaitre le 
resultat traite que recupere le composant dans son 
module de memoire. 

La connaissance du seul resultat de chiffrement ou 
de dechif frement , eventuellement associe a la 
connaissance du message d'origine a chiffrer ou & 
dechif frer, peut etre suffisante pour dejouer la 
securite apportee par la confidentiality d'une cl§ 
numerique. En effet, il suffira de transmettre k un 
composant le resultat traite attendu en fonction du 
message initial pour pouvoir effectuer les operations 
qui ne sont pas initialement autorisees. 

La presente invention a pour objet de pallier les 
problemes qui viennent d'etre deer its. A cet effet, 
1 ' invention propose un circuit electronique , pour la 
securisation d'un coprocesseur dedie a la 
cryptograph ie, qui assure la non-visibilite yis-a-vis 
d'une etude des signaux electriques lors des transferts 
de donnees, de la cle numerique ou du resultat d'une 
operation de chiffrement ou de dechif frement . 

Pour atteindre ces objectifs, 1' invention propose 
1 'utilisation d'un registre supplementaire, dit 
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registre de brouillage, dans la batterie de registres 
d 1 entree /sortie 32 du circuit decrit a la figure 3. Ce 
registre supplementaire est rempli, par des bits dits 
bits de brouillage, de fa?on aleatoire a des instants 
5 choisis egalement de fagon aleatoire lors du chargement 
dans la batterie de registres d 1 entree/ sortie de la cl6 
numerique. Un alea est ainsi introduit. Cet alea permet 
de supprimer une partie de la visibility que peut avoir 
le monde ext€rieur sur le comportement du composant, et 

10 done sur les donnees qu'il est en train de traiter. Une 
analyse des signaux electriques associes aux donnees en 
cours de traitement ne peut plus etre efficace pour 
entrer en possession d 1 informations conf identielles. 

Le chargement du registre de brouillage est une 

15 operation factice qui est sans influence sur le 
chargement des donnees essentielles au f onctionnement 
des operations de chiffrement ou de dechif f rement . Le. 
chargement des donnees qui sont tres sensibles est 
ainsi securise. 

2 0 L 1 invention concerne done un circuit electronique . 

pour la securisation d'un coprocesseur dedie a la 
cryptographie comprenant : 

- un module de memo ire, 

- une batterie de registres d 1 entree/sortie 

2 5 connectee au module de memoire par une liaison 

bidirect ionnelle , 

- un multiplexeur pour assurer un transf ert de 
donnees entre la batterie de registres d 1 entree/sortie, 
et un registre d 1 entree ou un registre de cl£, le 

3 0 registre d 1 entree et le registre de cle recevant 

respectivement les donnees d'un message a traiter par 
un chiffrement ou un dechif f rement et les donnees d'une 
cle numerique de chiffrement ou de dechif f rement , 

- un module de traitement pour effectuer une 
35 operation de chiffrement ou de dechif f rement admettant 
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a une premiere entree les messages a traiter contenus 
dans le registre d' entree, et a une deuxieme entree la 
cle numerique contenue dans le registre de cle pour 
traiter le message a traiter, 
5 - un module de controle pour gerer les operations 

effectuees par le module de memoire, la batterie de 
registres d 1 entree/ sortie, le multiplexeur et le module 
de traitement, 

- un registre de sortie pour transmettre a la 

10 batterie de registres d • entree/sortie via le 
multiplexeur le resultat d'une operation de chiffrement 
ou de dechif f rement , 

caracterise en ce que la batterie de registres 
d 1 entree/ sortie comprend un registre de brouillage pour 

15 recevoir des bits de brouillage etrangers au message a 
chiffrer ou a dechiffrer et/ou a la cle numerique. 

Selon un perf ectionnement de l 1 invention, le 
circuit selon l 1 invention comprend un registre d»entr6e 
annexe connecte au module de traitement et au 

20 multiplexeur pour recevoir les bits de brouillage emis 
directement par le module de traitement ou issus du 
module de memoire. Par bits de brouillage issus du 
module de memoire, on comprendra que les bits de 
brouillage ont pu etre transmis a d'autres Elements du 

25 circuit avant de parvenir au registre d 1 entree annexe. 

Selon un mode de realisation particulier, le 
circuit selon 1' invention est caracterise en ce que les 
bits de brouillage sont generes de fagon aleatoire par 
le module de memoire ou le module de traitement. 

30 Les bits de brouillage sont, dans des applications 

preferees de l 1 invention, produits sous forme d'octets. 

Un autre objet de 1 1 invention est de proposer un 
procede de securisation d 1 un coprocesseur dedie a la 
cryptographie comprenant les etapes consistant a 

35 successivement : 
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- transmettre depuis un module de memoire vers une 
batterie de registres d' entree/ sortie des donn&es au 
moyen d'une liaison bidirectionnelle, 

- transmettre, par 1 ■ intermediaire d'un 
5 multiplexeur, depuis la batter ie de registres 

d 'entree/sortie vers un registre d'entrSe, 
respect ivement vers un registre de cle, des donnees 
correspondant & un message a traiter par une operation 
de chiffrement ou de dechif f rement, respect ivement des 
10 donnees correspondant a une cle num^rique de 
chiffrement ou de dechif f rement , 

- traiter le message a traiter au moyen d'un module 
de traitement admettant a une premiere entree les 
donnees issues du registre d" entree, a une seconde 

15 entr6e les donnees issues du registre de cl6 et 
fournissant les donnees correspondant au message traltS 
vers un registre de sortie, 

caracterise en ce que le procede selon 1 1 invention 
comprend l'etape supplementaire consistant Sl 

20 transmettre a un registre de brouillage de la batterie 
de registres d ' entree/ sortie des bits de brouillage 
etrangers au message a traiter et Bl la cle numSrique, 
les bits de brouillage etant emis directement par rle 
module de memoire ou etant issus du module de 

25 traitement. 

Selon un perf ectionnement de l 1 invention, les bits 
de brouillage sont transmis dans : un registre annexe 
connecte au module de traitement et au multiplexeur 
pour recevoir les bits de brouillage emis directement 

30 par le module de traitement ou issus du module de 
m§moire. 

Selon une application particuliere du procede selon 
1' invention, les bits de brouillage sont transmis de 
facjon aleatoire. 
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Selon un autre mode particulier de realisation du 
procfede selon 1' invention, des bits de brouillage sont 
transmis au registre de brouillage pour chaque 
chargement dans la batterie de registres 
5 d* entree/ sortie d'une cle numerique. 

Les differents aspects et avantages de 1 1 invention 
apparaltront plus clairement dans la suite de la 
description en reference aux figures, qui ne sont 
donnees qu'S titre indicatif et nullement limitatif de 
10 1* invention, et qui sont a present introduites : 

- la figure 1, deja decrite, montre un schema 
simplifie d'un crypto-systeme , 

- la figure 2, deja decrite, montre un exemple de 
verification dynamique de la validite du chiffrement 

15 d'un message transmis apres chiffrement, 

- la figure 3, deja decrite, montre un circuit 
electronique r£alisant le chargement d'une cl6 
numferique dans les registres d'un co-processeur dedi6 
au chiffrement de donnees, 

20 - la figure 4 montre un circuit electronique selon 

l 1 invention realisant de fagon securisee le chargement 
d'une cle numerique dans les registres d'un co- 
processeur d€die a la cryptographie. 

A la figure 4, on retrouve les memes elements que 

25 dans le circuit electronique decrit a la figure 3 : un 
module de memoire 30, une batterie de registres 
d 1 entree/ sortie 32, un multiplexeur 34, un registre 
d 1 entree 36, un registre de cle 38, un module de 
controle 40, un module de traitement 42, un registre de 

30 sortie 44. On retrouve egalement les memes liaisons 
61ectriques ou bus de communication que dans le circuit 
decrit a la figure 3. 

Le circuit selon 1' invention se distingue du 
circuit de I'art anterieur presente a la figure 3 

35 notamment par la presence d f un registre supplementaire 
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50, dit registre de brouillage, dans la batterie de 
registres d 1 entree/sortie . 

Contra irement aux autres registres de la batterie 
de registres d 1 entree/sortie, le registre de brouillage 
5 50 n'est pas destine a recevoir des donnees relatives 
au message a traiter ou a la cle numerique. Le registre 
de brouillage 50 est destine a recevoir un certain 
nombre de bits, dits bits de brouillage, qui sont 
destines Bl securiser le chargement d*une cle numerique 

10 ou d'un message traite dans la batterie de registres 
d 1 entree /sortie 3 2 „ 

Dans un mode de realisation particulier de 
l 1 invention, le registre de brouillage 50 peut contenir 
huit bits. Sa taille est done de un octet. Cet exemple 

15 n'est cependant pas limitatif et la taille du registre 
de brouillage 50 peut differer selon les modes de 
realisation du circuit selon l'invention. Par souci de 
simplification de la description, on se limitera dans 
la suite de la description au cas oH le registre de 

20 brouillage 50 a une taille de un octet. Une liaison 
bidirectionnelle 52 assure le transfert de donnees 
entre le registre de brouillage 50 et le multiplexeur 
34. 

Selon un mode de realisation prefere de 
25 l 1 invention, un registre d 1 entree annexe 54 est 
connecte d'une part au multiplexeur 34, au moyen d'une 
liaison bidirectionnelle 56, et d 1 autre au module de 
chiffrement 42, au moyen d'une liaison bidirectionnelle 
58. De preference, le registre d f entree annexe 54 a la 
30 meme taille que le registre de brouillage 50. Le 
registre annexe 54 est en effet destine a recevoir ou a 
transmettre les bits de brouillage depuis ou vers le 
registre de brouillage 50. II n'y a cependant pas 
d 1 inconvenient majeur a ce que le registre d* entree 
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annexe 54 ait une taille differente de celle du 
registre de brouillage 50. 

Le f onctionnement du circuit selon un mode de 
realisation particulier de 1* invention est le suivant : 
5 le module de memoire 3 0 charge, dans les registres 
elSmentaires de la batterie de registres 
d 1 entree/sortie 32, un certain nombre de bits sous 
forme d 1 octets qui correspondent soit a un message & 
traiter, soit a la cle numerique. Lorsque la cle 

10 numerique est chargee depuis la memoire 30 vers la 
batterie d 1 entree/ sortie 32, des bits de brouillage 
sont emis de fagon aleatoire sur la liaison 31. Les 
bits de brouillage sont ensuite orientes vers le 
registre de brouillage 50 selon differents modes 

15 operatoires exposes precedemment. Les bits de 
brouillage peuvent, comme les autres donnees, fitre 
transmis par octets, 

Un nombre aleatoire d» octets de brouillage est done 
femis entre deux octets porteurs des informations 

20 relatives a la cle numerique. Dans le cas oil la cle 
numerique a une taille de huit octets, un octet de 
brouillage peut etre transmis entre deux octets 
quelconques codant la cle numerique. Un octet de 
brouillage peut egalement etre transmis avant le 

2 5 premier octet codant la cle numerique, ou encore aprSs 
le dernier octet codant la cle numerique. 

Par ailleurs, un nombre aleatoire d' octets de 
brouillage peut etre emis lors d'un meme chargement 
d'une cle numerique. Dans ce cas de figure, chaque 

30 octet de brouillage emis est toujours oriente vers le 
registre de brouillage 50, chaque nouvel octet de 
brouillage emis effa<?ant le precedent octet de 
brouillage conserve dans le registre de brouillage 50. 
II en est de meme pour les octets de brouillage 

35 issus du module de traitement 42 et regus par le 
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registre d 1 entree annexe 54. Ainsi, une personne qui 
tente d'obtenir de fagon frauduleuse la cle num§rique 
par l 1 etude des signaux electriques emis sur la liaison 
bidirectionnelle 31 est condamnee a l'echec. En effet, 
5 les signaux electriques correspondant a 1 ' emission des 
octets de brouillage vont fausser les etudes 
statistiques qui auraient pu conduire a la decouverte 
de la cle numerique. 

La liaison bidirectionnelle 52 assure le transfert 

10 de donn§es entre le registre de brouillage 50 et le 
multiplexeur 34 de fagon a ce qu'une etude des signaux 
electriques entre la batter ie de registre 
d 1 entree/sortie 32 et le multiplexeur 34, en vue de 
trouver la cle numerique, soit egalement vouee a 

15 l'echec. En sortie du multiplexeur 34, le module de 
controle 4 0 oriente les donnees issues du registre .de 
brouillage 50 vers le registre d 1 entree annexe 54 au 
moyen de la liaison bidirectionnelle 56. Cette liaison 
bidirectionnelle peut etre du type de celle qui 

2 0 constitue les bus precedemment deer its. 

De la meme fac?on que le registre 3 6 et le registre 
de cl§ 38 peuvent avoir une taille similaire au 
registre de la batter ie de registre d 1 entree/sortie 32, 
il est suffisant que le registre d' entree annexe 54 

25 soit de la taille minimale necessaire pour recevoir les 
donnees issues du registre de brouillage 50. La liaison 
bidirectionnelle 56 assure ici aussi la perturbation 
d'une eventuelle etude statistique des signaux 
electriques echanges entre le multiplexeur 34 et les 

30 registres d 1 entree 36 et de cle 38. 

De la meme fagon, 1' etude des signaux electriques 
entre les registres d 1 entree 36 et de cle 38 est 
perturbee par les signaux electriques vehicules par la 
liaison bidirectionnelle 58 entre le registre d 1 entree 

35 annexe 54 et le module de traitement 42. 
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Dans un mode de realisation prefere de l 1 invention , 
le registre d 1 entree annexe 54 possede une adresse 
proche des adresses du registre d 1 entree 36 ou du 
registre de cle 38. Une personne etudiant les signaux 
5 61ectriques echanges sur les differents bus ne peut 
ainsi pas observer de difference evidente lorsgue les 
adresses des registres destinataires sont vehiculees. 
Lorsque le module de traitement 4 2 produit le message 
chiffrS qu'il memorise dans le registre de sortie 44 au 

10 moyen de la liaison 45, il produit, de fagon aleatoire, 
et pas necessairement pour chaque operation chiffree, 
des bits de brouillage qui sont memorises dans le 
registre d 1 entree annexe 54 au moyen de la liaison 
bidirectionnelle 58. Ces nouveaux bits de brouillage 

15 sont egalement transmis via le multiplexeur 3 4 a la 
batterie de registre d 1 entree/sortie 50 simultanement a 
la transmission des donnees contenues dans le registre 
de sortie 44 vers le registre d' entree/ sortie 3 2 via le 
multiplexeur 34. 

20 Une information electrique de brouillage est ainsi 

egalement presente lors du chargement dans le module de 
memoire 30 du resultat de 1' operation de chiffrement ou 
de dechif f rement . Une personne qui aurait connaissance 
du message a chiffrer ne peut ainsi pas entrer en 

25 connaissance du resultat de chiffrement au moyen d'une 
etude statistique des signaux electriques vehicules sur 
les differentes liaisons intervenant. 

Le circuit et le procede de securisation selon 
l f invention sont susceptibles d'ete utilises pour toute 

30 operation de chiffrement et de dechif f rement . Le 
circuit et le procede selon l 1 invention utilisent done 
un signal electrique de brouillage pour 1' ensemble des 
transferts de donnees sensibles necessaires pour 
realiser une operation de chiffrement ou de 

3 5 dechif f rement au moyen d'une cle numerique. 
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Le circuit et le procede selon 1 1 invention tirent 
parti du fait que les operations effectu€es §l 
l 1 inter ieur d'une batterie de registre sont beaucoup 
moins accessibles que les informations electriques 
5 prSsentes entre les batteries de registre et diffferents 
Elements du circuit. 
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REVENDICATIONS 

1. Circuit electronique (4) pour la securisation 
d'un coprocesseur dedie a la cryptographie comprenant : 
5 - un module de meraoire (30) , 

- une batter ie de registres d 1 entree/ sortie (32) 
connectSe au module de memoire (30) par une liaison 
bidirectionnelle (31) , 

- un multiplexeur (34) pour assurer un transfert de 
10 donnees entre la batter ie de registres d 1 entree /sortie 

(32), et un registre d'entree (36) ou un registre de 
cle (38), le registre d'entree (3 6) et le registre de 
cle (38) recevant respectivement les donnees d'un 
message a traiter par un chif frement ou un 
15 dechif frement et les donnees d f une cle numerique de 
chif frement ou de dechif frement , 

- un module de traitement (4 2) pour effectuer une 
operation de chiffrement ou de dechif frement admettant 
a une premidre entree les messages a traiter contenus 

20 dans le registre d'entree (36), et a une deuxiSme 
entree la cle numerique contenue dans le registre de 
cle (38) pour traiter le message S traiter, 

- un module de controle (4 0) pour gSrer les 
operations ef fectuees par le module de memoire (30) , la 

25 batterie de registres d 1 entree/sortie (32), le 
multiplexeur (34) et le module de traitement (42), 

- un registre de sortie (44) pour transmettre S la 
batterie de registres d • entree/sortie (32) via le 
multiplexeur (34) le resultat d'une operation de 

30 chiffrement ou de dechif frement, 

caract&rise en ce que la batterie de registres 
d ' entree/sortie (3 2) comprend un registre de brouillage 
(50) pour recevoir des bits de brouillage etrangers au 
message a chiffrer ou a dechiffrer et/ou a la cl§ 

35 numerique. 



m # 



19 

2. Circuit electronique pour la securisation d'un 
coprocesseur dedie a la cryptographie selon la 
revendication 1, caracterise en ce que le circuit 
electronique comprend un registre d 1 entree annexe (54) 
5 connecte au module de traitement (42) et au 
multiplexeur (34) pour recevoir les bits de brouillage 
emis directement par le module de traitement (42) ou 
issus du module de memoire (30) . 

3* Circuit electronique pour la securisation d'un 
10 coprocesseur dedie a la cryptographie selon la 
revendication 2, caracterise en ce que le registre 
d 1 entree annexe (54) est de la mime taille que le 
registre de brouillage (50) , 

4. Circuit electronique pour la securisation d'un 
15 coprocesseur dedie a la cryptographie selon l'une des 

revendications precedentes, caracterise en ce que les 
bits de brouillage sont emis de fa<?on aleatoire. 

5. Circuit electronique pour la securisation d'un 
coprocesseur dedie a la cryptographie selon I'une des 

20 revendications precedentes, caracterise en ce que les 
bits de brouillage sont emis par groupes de huit bits* 

6. Procede de securisation d'un coprocesseur dedie 
a la cryptographie comprenant les etapes consistant a 
successivement : 

25 - transmettre depuis un module de memoire (30) vers 

une batterie de registres d • entree/sortie (32) des 
donnees au moyen d'une liaison bidirectionnelle (31), 

- transmettre, par 1 1 intermediaire d'un 

multiplexeur (34) , depuis la batterie de registres 

30 d 1 entree/ sortie (32) vers un registre d'entree (36) , 
respectivement vers un registre de cle (38) , des 
donnees correspondant a un message a traiter par une 
operation de chiffrement ou de dechif f rement , 
respectivement des donnees correspondant a une cle 

35 numerique de chiffrement ou de dechif f rement , 
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- traiter le message a traiter au moyen d'un module 
de traitement (4 2) admettant a une premiere entree les 
donnees issues du registre d ' entree (36), a une seconde 
entree les donnees issues du registre de cle (38) et 
5 fournissant les donnees correspondant au message traite 
vers un registre de sortie (44) , 

caracterise en ce que le procede selon 1 1 invention 
comprend l'^tape supplementaire consistant a 
transmettre a un registre de brouillage (50) de la 

10 batter ie de registres d 1 entree/sortie (32) des bits de 
brouillage etrangers au nombre a chiffrer et a la cle 
numerique, les bits de brouillage etant emis 
directement par le module de memoire (30) ou etant 
issus du module de traitement (42) . 

15 7. Procede de securisation d'un coprocesseur dedie 

a la cryptographie selon la revendication 6, 
caracterise en ce que les bits de brouillage sont 
transmis dans un registre d 1 entree annexe (54) connecte 
au module de traitement (42) et au multiplexeur (34) 

20 pour recevoir les bits de brouillage emis directement 
par le module de traitement (42) ou issus du module de 
memoire (3 0) . 

8. Procede de securisation d'un coprocesseur dedie 
a la cryptographie selon l'une des revendications 6 ou 

25 7, caracterise en ce que les bits de brouillage sont 
emis de fagon aleatoire. 

9. Procede de securisation d'un coprocesseur dedie 
a la cryptographie selon l'une des revendications 6 S 
8, caracterise en ce que des bits de brouillage sont 

30 transmis au registre de brouillage (50) a chaque 
chargement dans la batterie de registres 
d' entree/sortie (32) d'une cle numerique. 

10. Procede de securisation d'un coprocesseur dedie 
a la cryptographie selon l'une des revendications 6 a 
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9, caracterise en ce que les bits de brouillage sont 
€mis par groupes de huit bits. 
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